Dernière mise à jour : juillet 2026
En bref : Un enregistrement de clé DKIM est un enregistrement TXT DNS qui publie ta clé publique ainsi que des tags de contrôle du protocole (
v=,k=,p=,s=ett=). Ces paramètres indiquent aux serveurs de messagerie récepteurs comment traiter et valider tes signatures cryptographiques.
Pour permettre aux serveurs récepteurs de vérifier une signature DomainKeys Identified Mail (DKIM), un domaine doit publier sa clé publique dans le DNS. Cette entrée est publiée sous forme d’enregistrement TXT sous le sous-domaine <selecteur>._domainkey.<domaine> et se compose d’une liste de paires tag=valeur séparées par des points-virgules.
Un enregistrement de clé DKIM standard ressemble à ceci :
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Les principaux tags expliqués
Selon la norme RFC 6376, chaque tag définit une propriété opérationnelle spécifique de la clé publiée :
Le tag de version (v=)
Le tag v= déclare la version de l’enregistrement de clé DKIM (v= Version of the DKIM key record (plain-text; RECOMMENDED, default is "DKIM1")).
S’il est spécifié, ce tag doit avoir pour valeur DKIM1 et doit être placé tout au début de la chaîne. Selon la RFC 6376 : If specified, this tag MUST be set to "DKIM1" (without the quotes). This tag MUST be the first tag in the record. Records beginning with a "v=" tag with any other value MUST be discarded.
Le tag du type de clé (k=)
Le tag k= identifie l’algorithme cryptographique utilisé pour générer la clé (k= Key type (plain-text; OPTIONAL, default is "rsa")).
S’il est omis, les serveurs récepteurs supposent l’algorithme rsa par défaut. La norme exige une large compatibilité entre les implémentations : Signers and Verifiers MUST support the "rsa" key type.
Le tag des données de la clé publique (p=)
Le tag p= contient la clé publique codée en base64 (p= Public-key data (base64; REQUIRED)).
Une fonctionnalité clé de ce tag est la révocation de clé : lorsqu’il est publié avec une valeur vide (An empty value means that this public key has been revoked.), cela indique aux vérificateurs que la clé a été révoquée et ne doit plus être considérée comme valide. Un enregistrement de clé révoquée est publié ainsi :
v=DKIM1; p=
Le tag du type de service (s=)
Le tag optionnel s= restreint le champ d’application de la clé (s= Service Type (plain-text; OPTIONAL; default is "*")). Il accepte une liste de types de services séparés par des deux-points. Pour restreindre une clé publique afin qu’elle ne soit valide que pour l’authentification des e-mails, définis s=email :
v=DKIM1; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Le tag des flags (t=)
Le tag t= contient des indicateurs opérationnels (t= Flags, represented as a colon-separated list of names (plain-text; OPTIONAL, default is no flags set)). Si un vérificateur rencontre des flags non reconnus, la norme exige qu’ils soient ignorés (Unrecognized flags MUST be ignored.).
Lors de la mise en place initiale, les administrateurs utilisent souvent le flag y pour activer le mode de test (y This domain is testing DKIM. Verifiers MUST NOT treat messages from Signers in testing mode differently from unsigned email, even should the signature fail to verify.). Un enregistrement de test ressemble à :
v=DKIM1; k=rsa; t=y; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Vérifier ta configuration
Pour vérifier que tes tags sont formatés correctement et confirmer que ta clé publique en base64 est lisible sans troncature, inspecte ton domaine avec le scanner gratuit MXAudit.
Pour obtenir des conseils techniques sur la gestion des clés et les configurations par fournisseur, explore le guide complet DKIM et des tutoriels pratiques comme configurer DKIM chez IONOS.
Pour aller plus loin
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (consulté le 17 juillet 2026)